隨著企業(yè)信息化水平的提高，為了更好的服務(wù)于用戶，企業(yè)會引入各種類型終端接入網(wǎng)絡(luò)，以提升員工的工作效率。同時，企業(yè)會盡可能把網(wǎng)絡(luò)鋪設(shè)到辦公區(qū)的每個角落，滿足用戶隨時隨地的移動辦公需求。但是大量的終端接入網(wǎng)絡(luò)，給企業(yè)帶來了很大的信息安全隱患。如何確保終端隨時隨地安全接入網(wǎng)絡(luò)成為關(guān)鍵。

傳統(tǒng)網(wǎng)絡(luò)接入準入控制現(xiàn)狀:

IP地址分配方式:分為靜態(tài)IP和動態(tài)IP兩種方式。

基于安全考慮，通常會進行終端的準入控制，合法的終端才允許接入網(wǎng)絡(luò)。而通常的準入控制方案一般使用準入認證(802.1X/WEB等)，但準入認證會帶來網(wǎng)絡(luò)穩(wěn)定性差及維護麻煩等問題 (認證服務(wù)器故障可能導(dǎo)致終端無法入網(wǎng)從而導(dǎo)致業(yè)務(wù)中斷)，因此部分客戶會在接入設(shè)備上進行IP+MAC綁定替代準入認證，對于要求高的場景，或者涉密終端，得再加上PORT綁定。 

對于IP地址靜態(tài)分配的場景下，IP+MAC綁定作為準入控制方案，存在的問題: 

效率低，易出錯：IP規(guī)劃完畢以后，需逐臺在接入交換機進行手工IP+MAC+PORT綁定，執(zhí)行過程繁瑣且易出錯，維護困難。 

靈活性差：因為部門調(diào)整、辦公區(qū)裝修、移動辦公等需求，用戶的終端位置會發(fā)生變化。此時，不僅終端的IP地址需要重新分配，還需要在新位置所屬的交換機上重新進行IP+MAC+PORT綁定。如果遷移用戶數(shù)非常多的話，網(wǎng)絡(luò)信息部門可就非常尷尬了，加班不說，可能還會有一些莫名的投訴（你懂的！）。

管理維護難：IP地址池內(nèi)，有多少已經(jīng)被使用？有多少是空閑的？有多少IP該被釋放了？沒有好的工具輔助，領(lǐng)導(dǎo)一問，不知道，這不是打臉嗎！

對于IP地址動態(tài)分配的場景下，IP+MAC綁定作為準入控制方案，存在的問題:  

靈活性差：DHCP無法基于合法用戶進行IP地址分配(對應(yīng)的MAC固定分配相應(yīng)的IP地址，實現(xiàn)類似靜態(tài)IP的效果)。

可靠性地：一旦DHCP Servicer出現(xiàn)問題，則全網(wǎng)受影響；

配置繁瑣：地址分配完成后如果要進行IP+MAC綁定則需要在接入交換機上配置DHCP Snooping + IP Source Guard。 

其實，用戶想要的效果很簡單：那就是合法的用戶，拿著安全的終端，正確接入網(wǎng)絡(luò)，訪問正確的資源。

【極簡網(wǎng)絡(luò)】SDN技術(shù)-輕量級準入方案

讓SDN控制器替代手工操作，通過SDN控制器和接入交換機設(shè)備的聯(lián)動，有效提升工作效率的同時，確保終端入網(wǎng)的安全性和及時性。 

方案的主要功能

SDN控制器通過Openflow下發(fā)ARP代答指令給接入交換機，同步收集整網(wǎng)接入終端的網(wǎng)絡(luò)信息，如IP、MAC、 VLAN、PORT等。同時，網(wǎng)絡(luò)信息以及資產(chǎn)管理等臺賬信息也可以按照模板進行批量導(dǎo)入導(dǎo)出操作，方便管理員集中管理。

新終端接入網(wǎng)絡(luò)時，SDN控制器會把新用戶的信息和控制器維護的用戶信息庫進行自動匹配，通過管理員提前設(shè)置的模板和閾值，來判斷終端的合法性，并執(zhí)行放行、隔離、待審批等動作。 在判斷終端合法的同時，進而判斷終端的位置變化信息，確保策略跟隨用戶移動。

同時，可以將同一個業(yè)務(wù)部門，或者相同業(yè)務(wù)類型的終端拖進同一個策略組中，實現(xiàn)統(tǒng)一管理，減少管理員重復(fù)工作的效率浪費。

對于網(wǎng)絡(luò)中打印機、IP電話等啞終端，可以通過MAC地址限位的方式，阻止非法用戶通過模擬啞終端的地址發(fā)起的攻擊行為。

對用戶的價值

易運維：

• IP使用情況清晰直觀，多種呈現(xiàn)方式，方便管理員對IP資源 及時回收、統(tǒng)一管理；
• 不改變用戶使用習(xí)慣，還是按照已有的地址規(guī)劃方式；

安全性高：

• 可以基于端口進行綁定；
• 終端位置改變，需要管理員審批，有效防止MAC欺騙；
• 穩(wěn)定性高：
• 控制器故障，不影響網(wǎng)絡(luò)正常轉(zhuǎn)發(fā)。